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Autorita Garante per la protezione dei dati personali 
Piazza di Monte Citorio n. 121 
00186 ROMA 

Dipartimento Comunicazioni e Reti Telematiche 
Rif: DCRT/GP/125145 
Data: 15 giugno 2018 


Egregi Sig.ri 


Re: Risposta alia richiesta di informazioni del 11 maggio, 2018 

Scrivo per conto di Facebook Ireland Limited ("Facebook Ireland") in relazione alia vostra richiesta di 
informazioni ricevuta in data 11 maggio 2018 (la "Richiesta") e faccio seguito alle mie comunicazioni del 21 
maggio 2018 e del 13 giugno 2018 che rispondevano rispettivamente alle domande di cui ai punti (e), (f), 
(g), e (p) della Richiesta e (a), (h), (k) a (o) e (q) della Richiesta. Faccio altresi riferimento alle mie 
comunicazioni inviatevi il 28 marzo 2018 e il 6 aprile 2018, le quali fornivano informazioni riguardanti 
talune violazioni avvenute in passato alia Disciplina della Piattaforma Facebook da parte di terzi, oggetto di 
attenzione dei media negli ultimi mesi. Tali questioni riguardavano i servizi, gli strumenti ed i prodotti da 
noi forniti a sviluppatori terzi per la creazione da parte loro di app e servizi per gli utenti Facebook (la 
"Piattaforma Facebook" o "Piattaforma"). 

In data 6 giugno 2018, abbiamo presentato richiesta formale di estendere al 20 giugno 2018 il termine per 
rispondere ai punti in sospeso presenti nella Richiesta. Non abbiamo ricevuto alcuna risposta a tale 
richiesta e, pertanto, cogliamo I'occasione per rispondere alle domande di cui ai punti in sospeso (b), (c), (d) 
e (i), (j) della Richiesta non appena ci sara possibile. 

Ci auspichiamo che le informazioni contenute nella presente risposta siano mantenute strettamente 
confidenziali. Facebook vi chiede inoltre, rispettosamente, di proteggere tali informazioni dalla divulgazione 
e di mantenerle confidenziali in ottemperanza a ogni legge applicabile sulla liberta di informazione. 
Facebook vi chiede inoltre di avvisarci e di darci I'opportunita di essere sentiti qualora decidiate di divulgare 
qualsiasi informazione comunicata da Facebook. 

I. GIURISDIZIONE 


Come abbiamo spiegato a codesta Autorita in precedenza, e come gia indicato nelle mie precedenti e 
recenti comunicazioni, Facebook Ireland e I'unico titolare del trattamento per tutti gli utenti UE del servizio 
Facebook, compresi gli utenti Italiani. Siamo lieti di rispondere alle vostre domande, riservandoci il diritto di 
integrare tali risposte in un secondo momento, se necessario. Ai fini dell'articolo 56 del GDPR, I'autorita 
privacy Irlandese (Irish Data Protection Commissioner - "IDPC") e I'autorita capofila per quanto concerne i 
servizi Facebook all'interno dell'UE. Questa risposta viene fornita su base volontaria, fermo restando i nostri 
diritti su giurisdizione e legge applicabile. 

II. CAMBRIDGE ANALYTICA 


Faccio riferimento aH'aggiornamento fornito a codesta Autorita nella mia comunicazione del 13 giugno 
2018 contenente le informazioni piu aggiornate in nostro possesso circa I'ubicazione degli utenti Facebook i 
cui dati potrebbero essere stati condivisi dal Sig. Kogan e dalla sua societa, Global Science Research, con 
Cambridge Analytica/SCL Elections Limited ("SCL"). Come chiarito, sebbene I'app del Sig. Kogan, divenuta 
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nota come "thisisyourdigitallife" (l"App")/ potrebbe avere avuto accesso ai dati di utenti Facebook di tutto 
il mondo - come indicato nei numeri forniti nella comunicazione del 6 aprile 2018 - sembrerebbe che lui 
abbia solamente condiviso con SCL dati concernenti gli utenti Facebook ubicati negli USA. Nel qual caso, il 
Sig. Kogan non avrebbe fornito a SCL dati di utenti Facebook ubicati in Italia. Non vi e alcuna prova che 
asserisca il contrario nei registri pubblici o a cui abbiamo accesso. 

Per quanto concerne invece le vostre domande specifiche. 

b) Fornire copia integrate delle informative (con indicazione del periodo di vigenza) con le quali gli 
interessati sono stati resi edotti della cessione dei loro dati derivante daH'utilizzo da parte dei loro 
"amici" (e di "amici" di "amici") di servizi Facebook, compreso "Facebook login" e del tipo di 
ulteriore trattamento, conseguente alia cessione, effettuato dagli sviluppatori terzi 

Le Discipline sui Dati in vigore durante il periodo in cui I'App utilizzava la Piattaforma Facebook (i.e. 
Novembre 2013 a Dicembre 2015) sono contenute nell'Allegato 1. 

Tutte le discipline di Facebook sono state specificamente scritte per risultare facilmente accessibili, 
navigabili e comprensibili (con ulteriori miglioramenti implementati nelle versioni piu recenti, come chiarito 
in seguito). Facebook ha investito ingenti risorse per accertarsi che tutte le informazioni siano presentate in 
maniera trasparente, organizzata, razionale, logica e strutturata; con I'uso di un linguaggio comune 
facilmente comprensibile - evitando gergo giuridico e includendo spiegazioni ed esempi appropriati. Questo 
e stato compiuto con I'intento di rendere piu agevole e spedita la navigazione nonche la comprensione 
delle informazioni fornite all'utente. Nelle versioni online delle proprio discipline, Facebook ha inoltre 
utilizzato grafiche, strutture e formattazioni al fine di agevolare la comprensione dell'utente: ad esempio, 
dividendo la Disciplina sui Dati in sezioni, con intestazioni chiare, evidenziate tramite I'uso di colori e una 
dimensione maggiore dei caratteri. Nel layout delle proprie discipline, Facebook prendeva altresi in 
considerazione come molti dei propri utenti accedono al servizio tramite dispositivi mobile nonche le 
restrizioni per la visualizzazione di documenti piu lunghi tramite tali media. 

Tramite la Disciplina sui Dati, gli utenti vengono informati con chiarezza e in modo esaustivo su tutti gli 
aspetti che concernono i dati trattati da Facebook al fine di supportare il servizio Facebook. Ciascun utente 
ha I'opportunita di accedere a tali informazioni in maniera chiara e conveniente. 

Quando il Sig. Kogan avviava I'App sulla Piattaforma Facebook nel novembre del 2013, tutti gli utenti 
dovevano confermare di aver letto la Disciplina sui Dati di Facebook (a quel tempo la Disciplina sull'Uso dei 
Dati) al momento della registrazione al servizio. La Disciplina sull'Uso dei Dati in vigore quando I'App era 
presente all'inizio sulla Piattaforma informava chiaramente I'utente che i suoi amici su Facebook potevano 
condividere i suoi dati con le app utilizzate sulla Piattaforma; e indirizzava I'utente ai controlli per la 
condivisione con le app dei propri dati da parte dei suoi amici, secondo quanto segue: 

Informazioni che scegliete di rendere pubbliche: La scelta di rendere le proprie informazioni 
pubbliche suona esattamente come sembra: chiunque, anche le persone al di fuori da Facebook, 
sono in grado di visualizzarle. 

La scelta di rendere le proprie informazioni pubbliche significa inoltre che tali informazioni... 
saranno accessibili da siti web, applicazioni, giochi integrati con Facebook che voi ed i vostri amici 
utilizzate... 

Controllare quello che viene condiviso quando le persone con cui condividi utilizzano app: Proprio 
come quando si condividono informazioni via email o altrove su internet, le informazioni che 
condividi su Facebook possono essere nuovamente condivise. Questo significa che se scegli di 


1 L'App venne chiamata in origine "CPWLab" quando fu inserita per la prima nella volta nella Piattaforma. II nome venne cambiato con "GSRApp" 11 
giugno del 2014, e in "thisisyourdigitallife" il 18 luglio del 2014. 
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condividere quatcosa su Facebook, chiunque sia in grado di visualizzarlo potra a sua volta 
condividerlo con terzi, questo comprende i siti web, le app ed i giochi da loro utilizzati. 

I vostri amici e le altre persone con le quali condividete informazioni spesso vogliono condividere le 
vostre informazioni con app a I fine di rendere la loro esperienza su tali app piu persona le e sociale. 
Ad esempio, uno dei vostri amici potrebbe voter utilizzare una app di musica che gli permetta di 
vedere cosa ascoltano i suoi amici. Per trarre pieno beneficio da tale app, il vostro amico potrebbe 
voler dare la propria lista di amici all'app - guesto include il vostro ID Utente - cosi da permettere 
all'app di conoscere quali amici la utilizzano. II vostro amico potrebbe voler anche condividere la 
musica a cui avete messo "mi piace" su Facebook. Se avete reso tali informazioni pubbliche, 
I'accesso sard possibile all'app come a chiunque altro. Tuttavia se avete condiviso i vostri mi piace 
solamente con i vostri amici, I'app potra richiedere al vostra amico I'autorizzazione per condividerli. 

Potete controllare la maggior parte delle informazioni che vengono condivise da altre persone con 
app da loro utilizzate sulla pagina impostazioni "Inserzioni, App e siti web". 

La Disciplina sui Dati ha fornito agli utenti ulteriori informazioni sulla Piattaforma Facebook concernenti i 
dati a cui app terze potevano richiedere I'autorizzazione per accedervi, le condizioni per I'uso di tali dati da 
parte delle app, e le opzioni disposizione dell'utente per controllare I'accesso ai suoi dati da parte delle app: 

Sulla Piattaforma Facebook: La Piattaforma Facebbok (o semplicemente la Piattaforma) si riferisce 
al modo in cui vi aiutiamo a condividere informazioni con giochi, applicazioni e siti web che voi e i 
vostri amici utilizzate. La Piattaforma Facebook vi permette inoltre di portarvi appresso i vostri 
amici, cosi da permettervi di collegarvi con loro al di fuori da Facebook. In questi due modi, la 
Piattaforma Facebook vi aiuta a rendere la vostra esperienza sui web piu personale e sociale. 

Ricordatevi che tali giochi, applicazioni e siti web vengono creati e gestiti da altre aziende e 
sviluppatori che non fanno parte di, ne sono controllate da, Facebook, pertanto dovete sempre 
accertarvi di leggere i loro termini di servizio e discipline sulla privacy per comprendere come 
trattano i vostri dati. 

Controllare quali informazioni condividete con le app: Quando vi collegate ad un sito web, app o 
gioco...diamo a I sito web, app o gioco (a volte indicati come "Applicazioni o "App") le vostre 
informazioni di base (talvolta da noi indicati come "profilo pubblico"), le quali comprendono il 
vostro ID Utente e le vostre informazioni pubbliche. Comunichiamo inoltre gli ID Utente dei vostri 
amici (anche indicati come lista di amici) nell'ambito delle vostre informazioni di base. 

La vostra lista di amici permette all'app di rendere la vostra esperienza piu sociale in guanto vi 
permette di trovare i vostri amici presenti su tale app. II vostro ID Utente aiuta I'app a 
personalizzare la vostra esperienza in quanto pud collegare il vostro account su tale app con il 
vostro account Facebook, e pud accedere alle vostre informazioni di base, le quali comprendono la 
vostra lista di amici e le informazioni pubbliche. Questo comprende le informazioni che scegliete di 
rendere pubbliche, nonche le informazioni che sono sempre accessibili al pubblico. Se I'app necessita 
di ulteriori informazioni, quali le vostre storie, foto o mi piace, sard tenuta a richiedervi 
autorizzazione specifica. 

Le impostazioni "App che usate" vi permette di controllare le app che usate. Potete vedere le 
autorizzazioni che avete concesso alle app, I'ultima volta in cui una app ha effettuato I'accesso alle 
vostre informazioni, e il pubblico su Facebook per le storie sui diario e le attivita pubblicate dall'app 
per conto vostro. Potete inoltre rimuovere le app che non volete piu, o disattivare tutte le app della 
Piattaforma.... 

Le informazioni fornite nella Disciplina sui Dati consentivano agli utenti di comprendere appieno il 
funzionamento della Piattaforma, tra cui la capacita in quel momento per le app terze di accedere ai dati 
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degli amici degli utenti, 2 e i controlli per limitare e/o evitare tale condivisione (come chiarito in maggior 
dettaglio nella nostra comunicazione del 13 giugno 2018). Le cose non sono cambiate durante il ciclo vita 
dell'App sulla Piattaforma. 

Le informazioni fornite agli utenti nella Disciplina sui Dati venivano inoltre supportate da informazioni 
fornite altrove su Facebook. Le impostazioni privacy dell'utente (tra cui le impostazioni "Apps Others Use " e 
"Opt-Out dal la Piattaforma" descritte nella mia comunicazione del 13 giugno 2018) venivano sottoposte in 
maniera attiva alio loro attenzione, ad esempio tramite il modulo didattico "Privacy Check-Up". 3 Ulteriori 
informazioni venivano messe a disposizione degli utenti nei nostri Centri Assistenza, ad esempio: 

https://www.facebook.com/help/407486825937787 

https://www.facebook.com/help/218345114850283 

Didattica per gli utenti per quanto concerne i dati dell'utente che i suoi amici potevano condividere con le 
app - e controlli per evitare tali condivisione - venivano inoltre inclusi nel nuovo flusso di registrazione 
dell'utente a favore di tutti gli utenti. 

A titolo di completezza, e come spiegato in precedenza, dobbiamo chiarire che il contenuto di una 
disciplina privacy di una app, la quale spiega come I'app utilizza i dati personali degli utenti dopo aver 
ottenuto I'autorizzazione degli stessi per accedervi tramite la Piattaforma Facebook, e di responsabilita 
dello sviluppatore dell'app terza parte. Questi sviluppatori agiscono come autonomi titolari terzi e sono 
pertanto responsabili per la conformita con le leggi applicabili in materia di protezione dei dati. Come 
chiarito nella mia comunicazione del 13 giugno 2018, Facebook richiede contrattualmente nella Disciplina 
della Piattaforma che gli sviluppatori di app terze parti osservino opportuni standard - tra cui richiedere agli 
sviluppatori di app terze parti di ottenere idonei consensi laddove richiesti, per attuare la disciplina sulla 
privacy e rispettare tutte le leggi applicabili. 4 

Infine, alia luce del riferimento presente nella vostra domanda, dobbiamo ribadire che, in nessuna fase, 
I'App era in grado di accedere ai dati di "amici degli amici" tramite la nostra Piattaforma. 

c) indicare le modalita con le quali sono stati raccolti i consensi degli interessati, distinguendo tra 
quelli acquisiti nella loro eventuate qualita di utilizzatori diretti dei servizi di Facebook o di servizi 
(siti web, App) di terze parti che si avvaiessero della piattaforma Facebook ovvero nella loro 
eventuate qualita di "amici" e/o di "amici" degli utilizzatori diretti 

Comprendiamo che questa domanda riguarda il consenso ottenuto con la VI della nostra Piattaforma 
(come definita nella mia comunicazione del 13 giugno 2018), e non con la V2 della nostra Piattaforma 
avviata nell'aprile del 2014, nella quale furono introdotte limitazioni all'accesso ai dati di amici dell'utente 
da parte di app terze sulla nuova piattaforma. 

Questa domanda sembra presupporre che ci sia una divisione tra "utenti diretti dei servizi Facebook" e 
"amici e/o "amici di amici" di utenti diretti. A tal riguardo, questo non e corretto. Non esiste tale divisione. 

Con la VI della nostra Piattaforma, quando un utente installava I'App, i suoi dati e taluni dati dei suoi amici 
(a seconda dalle impostazioni sulla privacy dell'amico) potevano essere condivisi con I'App. 5 Tali amici 
erano loro stessi utenti Facebook e pertanto avevano accettato i Termini di Servizio di Facebook ed erano 
stati indirizzati a leggere la Disciplina sull'Llso dei Dati. Inoltre, come confermato nella mia comunicazione 


2 Come spiegato nella nostra risposta alia domanda (a) della Richiesta (si veda la mia comunicazione del 13 giugno 2018), abbiamo awiato una 
versione aggiornata della Piattaforma nell'aprile del 2014, e in conformita con la V2 della Piattaforma veniva limitato I’accesso ai dati di amici da 
parte di app terze. 

3 Accessibile tramite il simbolo "?" posto in alto a destra della pagina web di Facebook, e pubblicizzato agli utenti tramite la sezione "Notizie" 

4 Si veda in particolare le sezioni 2(1), 2(4), 2(7), 2(8) e 5 della attuale Disciplina della Piattaforma Facebook: 
https://developers.facebook.com/policy 

5 Come chiarito in precedenza, I'App poteva continuare ad operare nell'ambiente VI per un periodo di grazia di 1 anno dal lancio della V2 (i.e. fino a 
Maggio 2015) prima della sua migrazione dalla VI alia V2 in cui veniva limitato I'accesso ai dati di amici. 
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del 13 giugno 2018, in nessuna fase I'App era in grado di accedere ai dati di "amici degli amici" tramite la 
nostra Piattaforma. 

Quando i dati di un utente venivano trasferiti all'App - a prescindere dall'installazione dell'App da parte 
dell'utente o di un amico dell'utente - il trasferimento aveva luogo in conformita con il consenso informato, 
inequivocabile, specifico e liberamente espresso dell'utente. 6 

Con la registrazione su Facebook, gli utenti ricevevano le seguenti informazioni, posizionate direttamente 
sopra il pulsante "Iscriviti": 

"Cliccando su Iscriviti, accetti le nostre Condizioni e confermi aver letto la nostra Disciplina sull'Uso 
dei Dati, tra cui la nostra Disciplina sull'Uso dei Cookie ." 

I termini "Condizioni", Disciplina sull'Llso dei Dati", e "Disciplina sull'Llso dei Cookie" erano evidenziati come 
collegamenti ipertestuali diretti ai relativi documenti. 

L'utente che cliccava su "Iscrizione" accettava le Condizioni di Servizio e le discipline, compresa la 
condivisione dei suoi dati con app (tra cui le app installate dai suoi amici) in linea con tutte le pre-condizioni 
di cui all'articolo 2(h) della Direttiva 95/46/EC. 

Gli utenti accettavano volontariamente . Gli utenti decidevano di loro spontanea volonta di unirsi a 
Facebook e di accettare le Condizioni e le discipline che regolavano I'uso di Facebook. Inoltre, come 
chiarito nella mia comunicazione del 13 giugno 2018, gli utenti avevano un ampio controllo sulla 
condivisione dei loro dati con app, e potevano usare questi controlli per evitare ogni condivisione, pur 
continuando ad usare Facebook. 

Gli utenti venivano debitamente informati . Prima della registrazione su Facebook, gli utenti potevano 
accedere e facilmente rivedere la Disciplina sull'Llso dei Dati, il quale indicava con termini chiari e 
inequivocabili che: 

Proprio come quando condividete informazioni vie e-mail o altrove sul web, le informazioni 
condivise su Facebook possono essere condivise nuovamente. Questo significa che se condividete 
qualcosa su Facebook, chiunque potra vederlo e condividerlo con terzi, tra cui i siti web, app e giochi 
utilizzati. 

La Disciplina sull'Uso dei Dati chiarisce inoltre come gli utenti possono controllare tale condivisione. 

II consenso dell'utente dev'essere specifico e inequivocabile. Sulla pagina di registrazione di Facebook, gli 
utenti venivano informati che cliccando su "Iscriviti" accettavano le Condizioni di Servizio di Facebook e 
confermavano di aver letto la Disciplina sull'Uso dei Dati. Gli utenti che pertanto cliccavano su "Iscriviti" 
accettavano in maniera inequivocabile tali condizioni. Questa e una condotta attiva che non puo essere 
fraintesa o male interpretata. Viene chiaramente confermato che un utente, debitamente informato sulle 
condizioni che regolano I'uso del servizio Facebook, deliberatamente decide di usare i servizi secondo 
queste condizioni. La Disciplina sull'Uso dei Dati dell'll dicembre 2012, prevedeva espressamente la 
possibility per le app di ottenere informazioni degli amici di utenti del le app, in conformita con il consenso 
dell'utente del le app e le impostazioni sulla privacy dei suoi amici. 

Infine, gli utenti avevano una modalita intuitiva e granulare per revocare il proprio consenso alia 
condivisione delle loro informazioni con le loro app e quelle dei loro amici. Dopo aver dato il consenso per 
la possibile condivisione delle loro informazioni con le app dei loro amici, la pagina di impostazioni 
"Inserzioni, App e siti web" forniva agli utenti controlli granulari per revocare tale consenso. Gli utenti 
potevano scegliere di condividere solamente talune categorie di dati, o disattivare in toto la possibility di 
condivisione con le app dei loro amici (ivi compresa la possibility di apparire sulla lista amici) tramite 


6 Ai sensi della legge applicabile alia VI: sezione 2A(l)(a) Irish Data Protection Acts 1988 e 2003; Article 7(a) e 2(h) Directive 95/46/EC 
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I'opzione di Opt-out dalla Piattaforma -messa a disposizione degli utenti per la prima volta nel 2007 (come 
chiarito nella mia comunicazione del 13 giugno 2018). L'uso della opzione Opt-out dalla Piattaforma ha 
bloccato la condivisione dei dati degli utenti con app terze operative sulla Piattaforma. Gli utenti che 
continuavano a percepire tali opzioni di controllo come insufficient o che si opponevano in toto alle 
condizioni di trattamento dei dati da parte di Facebook o all'integrazione delle app sulla piattaforma, 
avevano la possibility di eliminare il proprio account in qualsiasi momento. 

Con la VI (come con la V2), gli utenti prestavano ulteriori consensi individuali - i.e. oltre al consenso 
informato, inequivocabile, specifico e volontario per la condivisione dei loro dati tramite la Piattaforma 
sopra descritto - ogni volta che sceglievano di installare una app terza. Questo e perche, come chiarito nella 
mia comunicazione del 13 giugno 2018, la Piattaforma era (ed e) progettata per assicurare che un provider 
di app terza parte possa solamente accedere ai dati di utenti dopo che I'utente che installa I'app abbia 
prestato il proprio consenso direttamente a tale terzo. 

Quando I'App veniva per la prima volta messa a disposizione sulla nostra Piattaforma nel novembre del 
2013, con I'installazione o I'autorizzazione di un app terza da parte di un utente, appariva una schermata di 
autorizzazioni la quale richiedeva all'utente di autenticare le sue credenziali di accesso a Facebook. Tramite 
questa schermata, I'app terza poi richiedeva a tale utente I'autorizzazione per accedere a specifiche 
categorie elencate di dati in linea con la versione 3 del le nostre autorizzazioni dati granulari leader sul 
mercato, come chiarito nella mia comunicazione del 13 giugno 2018. 

Per comodita, qui di seguito vi forniamo nuovamente un esempio di schermata mobile che mostra, in 
generale, come le app terze richiedevano il consenso degli utenti per accedere a specifiche categorie di dati 
tramite il Login di Facebook nel momento o nel periodo di avvio dell'App sulla VI della Piattaforma nel 
Novembre del 2013: 
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Come chiarito in precedenza, la modalita di funzionamento dell'App, e di richiesta da parte del le app del 
consenso degli utenti per accedere ai loro dati, e stata oggetto di controlli regolamentari ripetuti ed 
estensivi (tra cui dalla OPC, FTC e IDPC come chiarito nella risposta alia domanda (a) della Richiesta nella 
mia comunicazione del 13 giugno 2018) dall'inizio del 2008. Questo ha incluso una revisione approfondita 
del le basi legali per permettere alle app I'accesso ai dati degli utenti (tra cui ai dati di amici) tramite la 
nostra piattaforma, compresa la modalita con cui si ottiene il consenso dell'utente per tale accesso. 
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Di conseguenza, con la registrazione, gli utenti Facebook accettavano la condivisione dei loro dati con app, 
ivi comprese le app installate dai loro amici. Gli utenti erano naturalmente liberi di rinunciare, o modificare, 
il consenso in qualsiasi momento tramite gli strumenti a loro forniti. 

A prescindere dal consenso, gli utenti e Facebook avevano inoltre un interesse legittimo affinche le 
informazioni venissero trattate secondo tali modalita. 7 Facebook e una piattaforma di social media. La 
condivisione e I'elemento che contraddistingue la sua finalita e funzione. Migliora I'esperienza sociale di 
ciascun utente. La possibility per gli utenti Facebook di espandere le proprie connessioni su Facebook e di 
trasmettere i loro dati su app migliorava ed allargava I'esperienza sociale degli utenti: se gli utenti 
utilizzavano una app di musica, potevano altresi trovare musica per i loro amici; quando usavano un 
calendario, poteva aggiungere i compleanni dei loro amici sul calendario. Queste possibility consentivano 
alia VI della Piattaforma di servire il legittimo interesse di Facebook Ireland di fornire ai propri utenti servizi 
utili e di alta qualita. Ha inoltre servito il legittimo interesse degli utenti Facebook di ottenere tale servizio, 
offrendo difatti il tipo di esperienza sociale e di connessione che gli utenti si aspettavano di ricevere quando 
si registrano su Facebook. 

Inoltre, qualsiasi interesse contrario che gli utenti potevano avere veniva tutelato tramite opzioni esaustive 
di controllo a loro disposizione, che consentiva agli stessi di compiere scelte consapevoli su come le app 
utilizzate e i loro amici potevano ottenere le loro informazioni (come descritto in dettaglio nella mia 
comunicazione del 13 giugno 2018). Gli interessi degli utenti venivano protetti ulteriormente 
assoggettando gli sviluppatori di app a chiari obblighi contrattuali ed a limitazioni su come potevano 
utilizzare i dati degli utenti in conformity con la Disciplina della Piattaforma (di nuovo, come chiarito nella 
mia comunicazione del 13 giugno 2018). Queste protezioni assicuravano un adeguato bilanciamento tra gli 
interessi legittimi descritti nel paragrafo che precede e quelli degli utenti coinvolti. 

d) specificare quali eventuali modifiche siano state apportate alle modalita di cui sopra 

Discipline della Piattaforma eAPI Graph di Facebook . 

Come riportato nella nostra risposta alia domanda (a) della Richiesta (si veda la mia comunicazione del 13 
giugno 2018), Facebook introduceva modifiche nell'Aprile del 2014 per fornire agli utenti ulteriori controlli 
sulle informazioni alle quali potevano accedere app terze, per limitare la quantity di dati che potevano 
essere condivise con app terze, e per stabilire il nuovo processo di Revisione del le App per qualsiasi app 
terza che richiedeva informazioni non solo di base all'utente installante. 

Come spiegato in precedenza, queste modifiche comprendevano: 

• Implementazione di un processo di Revisione delle App per qualsiasi app che desiderava operare sulla 
V2 della piattaforma la quale richiedeva I'accesso a dati che non si limitavano al profilo pubblico 
dell'utente, I'indirizzo email, e la lista di amici dell'utente che installava e autorizzava I'app; 

• Limitare i dati degli amici dell'utente installante a cui potevano accedere le app sulla nuova 
piattaforma; e 

• Fornire agli utenti controlli piu granulari sulle autorizzazioni inerenti le categorie di loro dati a cui 
poteva accedere I'app operativa sulla nuova piattaforma. 8 

Nella mia comunicazione del 13 giugno 2018 abbiamo fornito a codesta Autorita copie delle discipline della 
Piattaforma in vigore quando I'App operava sulla nostra Piattaforma. Da tale data sono state apportate 
ulteriori modifiche alia disciplina della Piattaforma per chiarire e rafforzare ulteriormente gli obblighi delle 


7 Ai sensi dell'articolo 7(f) della direttiva 95/46/EC come recepita dalla s.2A(l)(d) of the Irish Data Protection Acts 

8 Si veda Facebook Newsroom, Introducing Anonymous Login and an Updated Facebook Login (Apr. 30, 2014), 

https://newsroom.fb.com/news/2014/04/f8-introducing-anonvmous-login-and-an-updated-facebook-login/; 

https://newsroom.fb.com/news/2014/04/f8-2014-stabilitv-for-developers-and-more-control-for-people-in-apps/ . 
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app terze sulla nostra Piattaforma. La versione piu recente della Disciplina della Piattaforma e qui 
disponibile: 

https://developers.facebook.com/policy 

Disciplina sui Dati e Termini di Servizio 

In aggiunta alle modifiche apportate nel corso del tempo visibili nelle copie della Disciplina sui Dati incluse 
nell'Allegato 1, dal 19 aprile 2018, Facebook ha aggiornato i Termini di Servizio e la Disciplina sui Dati, 
disponibili al pubblico tramite i seguenti link: 

https://www.facebook.com/terms.php 

https://en-gb.facebook.com/policy.php 

Ai sensi della Disciplina sui Dati e Termini di Servizio aggiornati, Facebook ha ulteriormente migliorato la 
trasparenza e chiarezza delle informazioni fornite agli utenti. Agli utenti vengono fornite chiare ed esaustive 
linee guida circa: (i) la raccolta dei dati degli utenti da parte di Facebook; 9 (ii) le tipologie di informazioni 
raccolte; 10 (iii) I'uso di tali dati per fini commerciali e informativi; * 11 e (iv) gli strumenti a disposizione degli 
utenti per controllare le modalita di trasferimento, uso e raccolta dei dati. 12 

Facciamo riferimento in particolare alia sezione della Disciplina sui Dati "Come vengono condivise le 
informazioni?" la quale fornisce agli utenti una chiara spiegazione su come le informazioni possono essere 
comunicate a terzi, anche ai sensi della versione attuale della V2 della nostra Piattaforma: 

Siti web e app terze che usano o vengono integrati con i nostri Prodotti. Quando scegliete di 
utilizzare servizi, siti web e app terze che usano o vengono integrati con i nostri Prodotti, essi 
possono ricevere informazioni su quello che pubblicate e condividete... Le App ed i siti web che 
utilizzate possono ricevere la vostra lista di amici su Facebook se scegliete di condividere tale 
informazione. Tuttavia le app ed i siti web che usate non sono in grado di ottenere da voi ulteriori 
informazioni sui vostri amici su Facebook, o informazioni dei vostri follower su Instagram (sebbene i 
vostri amici e follower potrebbero, certamente, scegliere di condividere tali informazioni per conto 
proprio). Le informazioni raccolte da tali servizi terzi sono soggette alle loro discipline e condizioni, 
non a questa. 

U 

Nota: Siamo nel processo di limitare ulteriormente I'accesso ai dati da parte degli sviluppatori alfine 
di evitare abusi. Ad esempio, rimuoveremo I'accesso degli sviluppatori ai vostri dati Facebook e 
Instagram se non avete usato la loro app negli ultimi 3 mesi, e stiamo modificando il login, per far si 
che dalla prossima versione, verranno limitati i dati che una app pud richiedere senza il processo di 
Revisione dell'app, al fine di includere solamente il nome, nome utente su Instagram e biografia, 


9 Si veda, a titolo esemplificativo, Sezione 1 della Disciplina sui Dati - Che tipo di informazioni raccogliamo? : "Per fornire i Prodotti Facebook, 
dobbiamo trattare informazioni che ti riguardano. Le tipologie di informazioni che raccogliamo dipendono dal modo in cui utilizzate i nostri Prodotti. 
Potete ottenere maggiori informazioni su come accediamo e cancelliamo le informazioni raccolte visitando la pagina Impostazioni di Facebook." 

10 Per un elenco completo delle informazioni raccolte da Facebook, si veda la Sezione 1 della Disciplina sui Dati - Che tipo di informazioni 
raccogliamo? 

11 Si veda, a titolo esemplificativo, Sezione 2 della Disciplina sui Dati - Come usiamo le informazioni : "Inserzioni e altri contenuti sponsorizzati: 
Usiamo le informazioni in nostro possesso su di voi tra cui le informazioni sui vostri interessi, azioni e connessioni per selezionare e personalizzare le 
inserzioni, offerte e altri contenuti sponsorizzati che vi mostriamo. Maggiori informazioni su come selezioniamo e personalizziamo le inserzioni, e le 
vostre scelte sui dati che usiamo per selezionare le inserzioni e altri contenuti sponsorizzati per voi sono presenti nella pagina Impostazioni di 
Facebook." 

12 Si veda, a titolo esemplificativo, Sezione 5, Disciplina sui Dati - Quali sono le basi legali per il trattamento dei dati personali? : "Noi raccogliamo, 
usiamo e condividiamo i dati in nostro possesso nei modi sopra indicati: • come necessario per rispettare le Condizioni di Facebook [...]; • in 
conformita con il vostro consenso, il quale puo essere revocato in qualsiasi momento sulla pagina Impostazioni di Facebook; 
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foto profilo e indirizzo email. La richiesta di qualsiasi ulteriore dato richiedera la nostra 
autorizzazione. 13 

III. ACCESSO DA PARTE DI TERZI Al DATI PEGU UTENTI FACEBOOK 


A titolo di cortesia a codesta Autorita, su base volontaria abbiamo risposto alle domande che 
seguono. Tuttavia e doveroso segnalare che tutte le questioni che riguardano operazioni di 
trattamento transfrontaliere correnti di Facebook sono soggette al GDPR, e IDPC e I'autorita 
capofila di Facebook in relazione alle stesse. L'articolo 56 (6) del GDPR stabilisce che: "L'autorita 
capofila e il solo interlocutore del titolare o del responsabile per i trattamenti transfrontalieri svolti 
dal titolare o dal responsabile." (Sottolineatura aggiunta) Pertanto, dobbiamo riservarci il diritto di 
indirizzare qualsiasi domanda futura relativa alle nostre operazioni ai sensi del GDPR all'IDPC. 

i) precisare quale informativa venga attualmente resa agli interessati che accedono a servizi o 
app di terze parti avvalendosi di "Facebook Login”, rispetto alia cessione dei loro dati ed a I loro 
successivo utilizzo 

Si prega di far riferimento alia nostra risposta riportata sotto " Disciplina sui Dati e Termini di Servizio " alia 
domanda (d) di cui sopra; nonche alia nostra precedente spiegazione su come la responsabilita per mettere 
in atto idonee discipline sulla privacy con gli utenti del le app ricade sullo sviluppatore terzo di app (sia ai 
sensi del le leggi in materia di protezione dei dati in quanto agiscono come titolari autonomi, che ai sensi 
degli obblighi contrattuali previsti nella Disciplina della Piattaforma). 

Facciamo inoltre riferimento all'esempio di schermata fornita nella nostra comunicazione del 13 giugno 
2018 la quale mostrava le autorizzazioni richieste agli utenti nella V2 della nostra Piattaforma, con ulteriori 
miglioramenti granulari sui controlli per la protezione dei dati. Come chiarito in precedenza, questi controlli 
rafforzati permettono agli utenti di rinunciare (opt-out) alia raccolta integrale dei dati da parte dell'app che 
scelgono di usare. Qui di seguito troverete un esempio di schermata: 


13 


Si veda https://newsroom.fb.com/news/2018/04/restrictinq-data-access/ 
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Rdio will receive the following: your 
public profile, friend list, email address, 
birthday and likes. 

S Edit the info you provide 


A This does not let the app post to Facebook 

Cancel 




o 


y 


•••oo earner ? 4:21 PM 


Info You Provide 

Public profile (required) 

Brady Voss, profile picture. 21 ♦. male and 
other public info 

Friend list 

Brandon Souba. Kaycee Voss and 924 others 

Email address 

brady.vossOemaii.com 

Birthday 

May 27 

Likes 

Avicfa. Cage The Elephant. Classba. Daft Punk. O 
A This does not let the app post to Facebook 

Cancel 


© 

© 


o 




j) le modalita di acquisizione del consenso degli utenti Facebook e dei terzi (liste degli "amici" e/o 
degli "amici" degli "amici"), specificando se tali modalita possano, ad avviso di codesta societa - 
essere definite di opt-in o di opt-out. 

Comprendiamo che questa richiesta di informazioni concerne la base legale applicabile alia 
condivisione dei dati tramite la Piattaforma ai sensi del GDPR, nella misura in cui Facebook agisca 
come titolare per tale condivisione. 

Facebook fornisce agli utenti informazioni dettagliate circa le basi legittime per la raccolta, uso e 
condivisione dei dati nella nostra Disciplina sui Dati e qui di seguito: 
https://www.facebook.com/about/privacy/legal bases . 

Quando Facebook fa affidamento sul consenso dell'utente per svolgere operazioni di trattamento, 
noi ci assicuriamo che tale consenso soddisfi tutti i requisiti previsti dal GDPR. 

Come spiegato in precedenza, se avete ulteriori domande su questa questione o su altri aspetti 
concernenti le nostre operazioni di trattamento transfrontaliere correnti, il GDPR richiede che tali 
domande siano indirizzate tramite IDPC che, in quanto autorita capofila di Facebook, e il solo 
interlocutore ai sensi dell'articolo 56 (6). Le basi legali su cui Facebook fa affidamento per 
giustificare le modalita di trattamento dei dati ai sensi del GDPR era, e continuera ad essere, 
oggetto di approfondite discussioni tra Facebook e IDPC. 

Vi inviamo una traduzione informale della presente comunicazione per vostra comodita. 
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Distinti saluti 



Head of Data Protection, Ratebook Ireland Limited 


Allegato 1 - Discipline sui Bati di Facebook in vigore da Novembre 2013 a Dicembre 2015. 






